<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body style="overflow-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;">Hi Anju<div><br></div><div>I think there are different cases you are asking about.</div><div><br></div><div>In the case that the request object is obviously entirely invalid (e.g. signature validation fails) the conformance suite accepts a non-JARM response (and a JARM one is also allowed, as is showing an error to the user).</div><div><br></div><div>A request object without a scope does not seem to meet the ‘entirely invalid’ criteria; it’s a valid JWT but contains an invalid request.</div><div><br></div><div>I’m not entirely sure which case the ‘without-exp’ or ‘without-nbf' case would fall into. It seems potentially valid to accept a non-JARM response there. We could check if you raise an issue with all the details: <a href="https://gitlab.com/openid/conformance-suite/-/issues/new">https://gitlab.com/openid/conformance-suite/-/issues/new</a></div><div><br></div><div><div>Note that, given you’re redirecting back to the client (rather than displaying an error to the user), the AS is presumably deciding to trust the redirect_uri, so a discussion about whether to trust the response_mode or not seems a bit irrelevant.</div></div><div><br></div><div>Thanks</div><div><br></div><div>Joseph</div><div><br id="lineBreakAtBeginningOfMessage"><div><br><blockquote type="cite"><div>On 16 Jan 2024, at 13:55, Anju Chamantha via Openid-specs-fapi <openid-specs-fapi@lists.openid.net> wrote:</div><br class="Apple-interchange-newline"><div><div dir="ltr">Hi,<br>In the OIDC FAPI conformance suite JARM profile, there are a couple of tests [1] where it sends the <i>response_mode</i> only inside the <i>request</i> object, and some params that should be inside the request like <i>exp</i>, <i>nbf</i>, <i>scope,</i> etc. are not sent. Those tests expect the authorization server to throw an error since the <i>request</i> object parameters are missing. This error response is expected as a JARM response (jwt format).<br><br>Question:<br>Since with those missing <i>request</i> object parameters, the whole request object should be invalid and the existing parameters inside the request object also should not be trusted. Therefore since <i>response_mode</i> parameter is also inside this invalid request object is it ok to trust its value and switch the response mode according to that?<br><br><br><u>[1] Referring test cases:</u><br>fapi1-advanced-final-ensure-request-object-without-exp-fails,<br>fapi1-advanced-final-ensure-request-object-without-nbf-fails,<br>fapi1-advanced-final-ensure-request-object-without-scope-fails<br>etc.<br><div><br>Thank you.</div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><font face="verdana, sans-serif">Regards,</font><div><font face="verdana, sans-serif"><br></font><div><div><font face="verdana, sans-serif" color="#444444"><b>Anju Chamantha</b></font></div><div><font face="verdana, sans-serif" color="#444444">Software Engineer.<br></font></div></div></div></div></div></div>
_______________________________________________<br>Openid-specs-fapi mailing list<br>Openid-specs-fapi@lists.openid.net<br>https://lists.openid.net/mailman/listinfo/openid-specs-fapi<br></div></blockquote></div><br></div></body></html>